Antivirus (AV) teknologi oppsto ved hjelp av en ganske enkel idé: Hvis koden er dårlig, blokkere den. Så, AV-leverandører opprettholdt store lister over dårlige ting og forhold hver eneste fil treffer en enhet til sin liste over dårlige ting. Skurkene svarte med å endre litt hver malware fil, slik at hver fil var nære, men ikke akkurat ligner på en kjent dårlig fil. Det var en enkel måte å unngå å bli oppdaget. Så, leverandører distribuert millioner av nye underskrifter til hver enhet, en strategi og forretningsmodell som åpenbart ikke skalere.
Bransjen prøvde deretter en positiv sikkerhetsmodell, i utgangspunktet bygge en hviteliste over autoriserte programmer. Hvis programvaren ikke ble godkjent, kan det ikke kjøres. Dette var stor i forhold til å blokkere malware (som ikke ville være på hviteliste), men det var ikke så bra for brukervennlighet. Det viser seg sluttbrukere trenger å laste programvare ganske ofte, og får slags gretten hvis programvaren de ønsker er ikke på hvitelisten.
Den negative modellen ikke skalere lenger, og den positive modellen er uakseptabelt å brukere. Dermed hadde bransjen i utgangspunktet starte på nytt, revurdere hvordan malware arbeider for å finne den beste påvisningsmetoden fremover.
Grunnleggende element av malware
Det grunnleggende element i enhver ondsinnet programvare er en fil som utfører og senere gjør dårlige ting. Antimalware handler om å oppdage disse filene før de gjør skade. Gitt dyktighet av malware forfattere til obfuscate dårlige filer, kan deteksjon ikke lenger stole på hvilke filer ligne; heller, det er behov for å evaluere ". hva hver fil gjør "
For å være klar, er det fortsatt verdi i å lete etter filer som du vet er dårlig. Men det trenger ikke skalere til å gjøre det på hver enhet lenger, så antimalware leverandører utnytte nettskyen for å holde oversikt (programvare hashes, egentlig) av milliarder av filer. Antimalware agenter på hver enhet sjekk " rykte " filer for å avgjøre om en) de har sett det før, og 2) hvis det er ille.
Kjente dårlige filer blir blokkert og kjente gode filer ikke. Men hva skjer når du aldri har sett filen før? Det er da det neste innovasjon i antimalware teknologi spark i. Agenten sender ukjente filer til en tjeneste som analyserer filen, på jakt etter indikatorer på kompromiss ved å kjøre filen i et isolert miljø. Deretter sender den en dom tilbake til enheten til enten tillate eller blokkere filen.
Selvfølgelig er det noen ventetid involvert i denne prosessen, og du må finne ut om du lar ukjente filer gjennom (ta risikoen at det vil være dårlig), eller om du karantene filen til du får en endelig dom. Enhver antimalware teknologi som ikke bruker denne skybaserte tilnærmingen har liten sjanse til å blokkere dagens angrep.
Hvor å oppdage malware
Det meste av industrien har blitt kondisjonert til å anta at antimalware må kjøre direkte på et endepunkt enhet. Gitt samsvar mandater, er mange organisasjoner tvinges inn i denne distribusjonsmodellen, kjører antimalware på hver Windows-enhet. Med akselerasjon av Mac og Linux på bedriftens stasjonære og datasentre, henholdsvis i økende grad må antimalware å bli vurdert for disse andre plattformer. Men husk den underliggende arkitekturen av Mac OS X og Linux er langt bedre på å hindre malware utbrudd enn Windows XP
Fra redaksjonen:. Mer om den beste antimalware teknologi
Beste antimalware produkter
Hensyn for antimalware distribusjoner
Morgendagens antivirus-verktøy for å oppnå nettverkssikkerhet
I advent av virtualisering også kompliserer velge den beste antimalware teknologi. Tenk at hvis hver gjest som kjører på en virtualisert enhet kjørte en antimalware agent, vil du kjøre den samme koden igjen og om igjen på den samme maskinvaren, som tap hensikten med virtualisering. Så antimalware leverandørene optimalisere nå sine motorer til å kjøre på en enkelt gjest (eller innenfor hypervisor) og kommunisere innen virtualisert miljø for å sikre at virtuelle maskinressurser er optimalisert.
Komme tilbake til filosofien om å blokkere dårlige ting så nær omkrets som mulig, bør antimalware bli utplassert nærmere innreise, enten ved organisasjonens perimeter eller innenfor en skytjeneste. Det enkleste stedet å sjekke for malware er med Web eller e-postsikkerhets gatewayer eller skytjenester. Siden e-post og web forbli fremtredende angrepsvektorer, som vanligvis er det første stedet å distribuere.
Det er også nye enheter som vi har vært ringer nettverksbasert malware gjenkjenning, som ser i det hele tatt ingress nettverkstrafikk og gjøre en analyse på filene inn i nettverket, ligner på hvordan vi beskrev punktet ovenfor -. pass på at ingen filer demonstrere angrepsegenskaper skriv
Remediation
Hva skjer når du finner noe dårlig? Det er da du trenger å jobbe med de andre systemene og /eller kontroller på plass. Dermed vil du være på jakt etter din beste antimalware-teknologi til å fungere sammen med slike ting som nettverksenhetene til å blokkere og /eller karantene enheter som kan være kompromittert. Du vil også være lurt å sørge for at et varsel er sendt til korrekt rapportering konsoll, enten det er antimalware styringssystem, en SIEM /log ledelse produkt eller en help desk system for å starte utbedring prosessen.
Hvis du lider en infeksjon, til tross for din beste innsats på deteksjon, historisk sett det beste antimalware teknologi vil inkludere muligheten til å rengjøre enheten. I konsollen, vil du klikker på en knapp og magisk, vil enheten være løst. Som malware fikk mer komplisert og djevelsk, ble opprydding en tapende kamp. Konsekvensene av å forlate noen rester av malware, og dermed sikre reinfection, var betydelig. Hvorfor ren det en gang, når du kan rense den om og om igjen?
Dermed nå anbefaler vi reimaging infiserte enheter. Ja, kaster denne tilnærmingen ut babyen med badevannet, noe som resulterer i hyppige tap av data og bruker inntrufne. Men gitt utbredelsen av reinfeksjon, tror vi nedsiden er oppveies av behovet for å sikre at malware har blitt utryddet
Red.anm.
Denne artikkelen ble opprinnelig publisert som premie Innholdet i 2012.
Om forfatteren
Mike Rothman er en analytiker med og president i Securosis, en uavhengig sikkerhets forskning og rådgivningsselskap i Phoenix. Mike er også forfatter av
Pragmatic CSO: 12 trinn til å være en Security Master . Nå Mike via e-post på
[email protected]
eller følge ham på Twittersecurityincite.